Group-IB с 2003 года занимается специфическим разделом кибербезопасности — предотвращением и расследованием киберпреступлений. Компания содействовала в раскрытии резонансных киберпреступлений — буквально на днях стало известно о том, что с помощью Group-IB были задержаны братья-хакеры, похитившие со счетов российских банков более 11 миллионов рублей.
В 2012 году компания, используя накопленный опыт в расследованиях, стала разработчиком трех продуктов по информационной безопасности: для защиты компаний от сложных вирусных заражений и целевых атак, защиты порталов и систем онлайн-банкинга, а также системы киберразведки, позволяющей предотвратить кибератаку на этапе подготовки.
В апреле 2015 года Group-IB подписала предварительное инвестиционное соглашение с Фондом развития интернет-инициатив (ФРИИ) на 210 миллионов рублей, вошла в список Gartner «7 самых влиятельных компаний в сфере кибербезопасности в мире» и в четверку компаний, которые будут обеспечивать кибербезопасность российской компании «Ростех». Интервью с Ильей Сачковым продолжает совместный проект «Ленты.ру» и ФРИИ «Стартап на миллион».
«Лента.ру»: Что привело вас в Лондон?
Илья Сачков: Великобритания — очень важный для нас рынок. Еще в прошлом году мы хотели открыть здесь офис, но события на Украине и экономический кризис заставили занять выжидательную позицию. Открывать офис в Лондоне пока для нас смысла нет, и потому с некоторыми клиентами мы работаем удаленно, а с некоторыми — через британских партнеров, которые продают наши сервисы. Кто наши клиенты — сказать не могу, но это крупные компании. Для некоторых это уже риск, что они занимаются cyber intelligence, и тем более — что делают это с российской компанией.
Илья Сачков
Фото: личная страница Ильи Сачкова в Facebook
Если не раскрываете, кто ваши клиенты, расскажите хотя бы, что вы для них делаете. В чем специфика вашего бизнеса?
Изначально мы начали с компьютерной криминалистики: анализировали действия хакеров, собирали цифровые доказательства их преступлений для правоохранительных органов и клиентов. Потом стали применять криминалистику для любых высокотехнологичных преступлений, где используются компьютерные системы. Это может быть даже убийство, торговля наркотиками или оружием, кибертерроризм.
В чем сложности такого бизнеса? Киберрасследования нельзя заранее продать, это абсолютно непредсказуемый бизнес. Вторая проблема — сложно найти людей. Человек должен быть не только подготовлен технически и юридически, он должен быть суперстрессоустойчивым. Наши сотрудники подписывают экспертизы своим именем, и те, против кого мы работаем, прекрасно понимают, кто стоит по ту сторону. На хакерских форумах периодически появляются угрозы сотрудникам Group-IB. Не все могут выдержать такое давление.
Интерфейс хакерской программы
Скриншот: компания Group IB
В результате у нас сложилась команда около 100 человек, все по-своему интересные люди. Основная часть сидит в Москве, но есть представители в Нью-Йорке, Сингапуре, Лондоне. И уже три года как мы начали разработку своих продуктов. Проводя где-то расследование, наши криминалисты приезжали в очень защищенные компании, где тем не менее происходили инциденты. Мы стали понимать, что чего-то не хватает, и конвертировали полученный опыт и понимание специфики современной киберпреступности в продукты, которые дополняют любой периметр защиты.
«Битва за конечный компьютер проиграна»
Тема кибербезопасности всегда вызывает повышенный интерес. Что нового на рынке?
Наиболее заметная тенденция — развитие направления Cyber Intelligence. По-русски «киберразведка» звучит очень страшно, но это разведка с целью получить знания. Классическая кибербезопасность строится на средствах защиты от хакеров, а киберразведка позволяет понять, от кого компания защищается, какие у нее риски и когда они могут случиться.
Поясню на примере. В ходе расследований ряда онлайн-краж мы обнаруживали, что компании-жертвы были защищены: закуплено нужное дорогостоящее ПО, работала служба инфобезопасности. Сначала это были единичные случаи, но уже в 2011 году счет пошел на тысячи. Тогда же нашли зараженную ботсеть в России, где было 1,5 миллиона компьютеров, на 86 процентах которых был установлен антивирус.
Мы поняли, что битва за конечный компьютер проиграна, и антивирусам нужны дополнения, чтобы предугадывать заражения. Для этого нужно изучить, как вирус общается со злоумышленником, по каким протоколам отправляет пакеты управляющим серверам. Мы используем большую инфраструктуру — ловушки, анализаторы, песочницы, сенсоры у операторов связи, позволяющие в режиме реального времени видеть коммуникацию вируса с сервером.
Как, например, мы защищаем онлайн-банкинг. Если пакет с зараженного компьютера, на котором используется интернет-банкинг, проходит через наше «железо», мы понимаем, что компьютер заражен, и передаем банку в режиме реального времени данные учетной записи. Банк блокирует учетную запись и сообщает вам о заражении. Это происходит моментально — еще до того, как злоумышленник сможет украсть деньги. Кроме того, система анализирует действия преступных групп, что позволяет в дальнейшем использовать эту информацию для расследования и физического пресечения деятельности злоумышленников. Мы запустили этот продукт в 2011 году, и его сразу купили 25 крупнейших российских банков, в том числе Сбербанк.
Когда начали предлагать этот продукт банкам в Англии, они стали спрашивать, как вирус оказался на компьютере, как он распространяется, как он технически работает, кто его создал, с какой целью, где они находятся, — так продукт от мониторинга ботнетов перерос в целую платформу киберразведки, которая предоставляет клиентам возможность в режиме реального времени защититься от атак на этапе их подготовки и предохраниться от новых кибератак.
Есть ли разница между восприятием российских и английских банкиров?
Российские банки на самом деле гораздо лучше защищены, чем другие. Из-за того, что в России уровень киберпреступной среды более высок, наши банки находятся на острие борьбы. И многие департаменты безопасности российских банков считают, что им нечем улучшить свою безопасность. Но в Англии банки понимают, что внутри департамента зачастую невозможно иметь актуальные знания обо всех угрозах, поэтому английские банки ищут возможность внешних данных. Благодаря этим знаниям они могут построить стратегию безопасности на будущее, на несколько месяцев или даже лет. При этом многие маленькие российские банки продолжают отбиваться от злоумышленников здесь и сейчас.
Цель на разрушение
Какие новые угрозы миру возможны от кибертеррористов?
Прежде всего, у новых кибертеррористов нет цели украсть деньги или информацию. Их цель — нарушить работу инфраструктуры и об этом рассказать. У многих хакеров есть возможность разрушить инфраструктуру, однако они этого не делают, потому что не смогут на этом заработать. Для исламских террористов же нарушение работы систем — это главная задача. В этом их главное отличие.
В недавнем исследовании мы проверили, насколько Россия интересна для кибертеррористов. Оказалось, ИГИЛ атаковали порядка 600 разных российских ресурсов в течение месяца.
Интерфейс хакерской программы
Скриншот: компания Group IB
В каких случаях страна становится объектом для этой категории кибертеррористов?
Для хакеров ИГИЛ интересна любая страна, за исключением тех, которые они уже захватили. Для них в интернете абсолютно нет союзников. Как только страна начинает выступать против ИГИЛ, первые несколько недель она в приоритетах. Россия оказалась в списке почти сразу после заявления президента о том, что с этой угрозой надо бороться.
Откуда у ИГИЛ квалифицированные кибертеррористы?
Во-первых, у них много сторонников, работающих удаленно. Во-вторых, сейчас активно развивается индустрия легких инструментов для атаки. В 90-х годах интерфейсы хакерских программ были очень сложными, требовали технологической грамотности. Сейчас это интерфейсы web 2.0, мультиязычная поддержка, прорисованные иконки, лицензии и службы поддержки. Уровень человека, который начинает этим пользоваться, — элементарное владение информационными технологиями. В 2000-е было много высококвалифицированных хакеров, им было интересно противостоять. Сейчас же большинство не понимают, что они делают, — скачивают программу, повторяют определенные действия. Также кибертеррористы могут купить доступ в компании, которые не нужны обычным хакерам (которые не нашли способ монетизации).
Зачем хакеры это делают — для фана?
Для зарабатывания денег. Людей, которые взламывают что-то для фана, осталось очень мало. Последний крупный случай в России — взлом Wi-Fi в московском метро. До этого в 2010 году — взлом щита на Садовом кольце. В 99 процентах случаев таких хакеров ловят, и они оказываются в тюрьме. Мы не считаем их серьезной угрозой, — скорее всего, это делают «белые хакеры» или просто странные люди.
Но ведь люди, которые могут взломать Wi-Fi в метро, теоретически могут совершить и более серьезные преступления?
Когда человек совершает что-то публичное, он попадает в поле зрения правоохранительных органов. «Белых хакеров» тоже отправляют под суд: после взлома щита на Садовом кольце хакер получил шесть лет колонии, а когда в том же году парень из Новосибирска взломал Королевский банк Шотландии, он получил пять лет условно.
Интерфейс хакерской программы
Скриншот: компания Group IB
Рискованная экономия
В кризис компании экономят на инфобезопасности?
Многие стали экономить — в 10-20 раз. Кто-то, наоборот, увеличивает бюджет — зависит от зрелости компании. В кризис экономить на безопасности — это большой риск. Кризис неизбежно ведет к сокращениям штата. Меньше сотрудников, ответственных за безопасность, — меньше бдительность. Сокращенные сотрудники не всегда довольны своим сокращением — и создается риск саботажа, выноса коммерческой информации. В кризис ожесточается конкуренция — соответственно, возможен коммерческий шпионаж. Возрастает уровень преступности за счет того, что люди ищут пути для заработка денег в сложной экономической ситуации.
Конец 2014-го — начало 2015 года показательны в плане крупных хищений, особенно в компаниях, где сэкономили. Экономия 60-100 тысяч рублей приводит в результате к хищению почти 240 миллионов рублей. Многие компании еще слабо понимают, что такое инфобезопасность. Многие бизнесмены в России вообще не верят, что хакеры существуют. Они думают, что это миф. Или что вся безопасность сводится к вирусам-антивирусам. Это, к сожалению, не так. Ставить знак равенства между вирусом и компьютерной преступностью — все равно что автомат Калашникова считать синонимом обычной преступности. Вирусы — один из возможных инструментов. Мы стараемся рассматривать высокотехнологическую преступность в комплексе — и это дает хороший результат: только в России наши продукты спасли более 22 миллиардов рублей в прошлом году.
Какие защиты онлайн- и мобильного банкинга вы считаете лучшими на сегодня?
Меня удивляют банки, которые до сих пор позиционируют токены или одноразовые пароли как средство защиты от хищения денежных средств. Безопасность банкинга зависит не от средства, которое выдается пользователю, а от того, что банк делает, чтобы предугадать преступление. Если ваш компьютер заражен и вы совершаете перевод, вирус может легко подменить реквизиты. А поймете, что перевели деньги не туда, вы уже только по выписке. Если банк не контролирует зараженность компьютера, он об этом и не узнает.
Чем хороша Россия для продуктов инфобезопасности — здесь рождаются новые угрозы. То, с чем сейчас сталкиваются США, было в России уже пару лет назад. С одной стороны, рынок США — самый зрелый, но российские «безопасники» — самые продвинутые, боевая готовность у них самая лучшая. Поэтому именно в России самые защищенные банковские продукты.
«Мы еще не "Касперский", но уже не стартап»
Group-IB уже долгое время заметный игрок на рынке кибербезопасности. Почему компания решила привлечь деньги фактически как стартап, от венчурного фонда?
Мы сильно отличаемся от основного портфеля ФРИИ. Group-IB может стать самой крупной компанией в портфеле фонда. Мы, конечно, еще не «Касперский», но уже давно не стартап на ранней стадии.
Мы были сервисной компанией, а теперь, когда выпустили продукты, нам нужно научиться их продавать. Мы очень много тратим на разработку решений, которые еще не запущены или не вышли на рынок. А чтобы масштабировать и продавать уже созданные продукты, нужны деньги. Кредиты же мы брать сейчас не хотим.
А ФРИИ сейчас развивают стек инфобезопасности, и для них стратегическая задача — сотрудничать с компанией не очень крупной, но уже заметной.
То есть фактически закрываете кассовый разрыв?
Нет, фактически — это закупка оборудования и разработка новых продуктов.
Второй мотив — мы хотим научиться правильно делать очень большие интеграторские проекты. Это строительство огромных центров кибербезопасности в разных регионах России. Без такого стратегического партнера, как ФРИИ, мы этого сделать не сможем.
Привлекали ли вы раньше внешние инвестиции?
Первые инвестиции — от LETА Group в 2010 году. Тогда мы продали 50 процентов компании, но позже выкупили долю обратно.
Какую долю в компании получит ФРИИ? В феврале вы говорили, что планируете привлечь инвестиции при оценке в 80-100 миллионов долларов. 210 миллионов рублей по нынешнему курсу — это около 4 миллионов долларов. Верно ли, что ФРИИ получил около пяти процентов?
Мы еще не заключили сделку, ФРИИ только предварительно ее одобрил. Мы получим инвестиции, когда выполним определенные KPI. О какой доле мы договорились — пока не раскрываем. Если говорить об оценке, то в нашем понимании оценка в 80-100 миллионов справедлива, но в России технологические компании оцениваются иначе.
Ранее вы заявляли о планах привлечь 20 миллионов долларов от западных инвесторов. Вы начали понемножку или санкции отрезали западных инвесторов?
Мы и дальше будем привлекать средства. Наша цель сейчас — захватить российский рынок и полностью перейти от сервисного к инновационно-продуктовому бизнесу. Хотя сервисный бизнес мы оставим, так как он дает выручку и знания для наших продуктов.
Шаг второй, когда спадет политическая напряженность, — это международная экспансия на Ближний Восток, в Азию, Европу, Латинскую Америку. Ну и Англию надо покорить до конца, — это мировой банковский центр, а банки больше всего страдают от киберпреступности.
На это и потребуется следующий раунд. На мировых рынках мы планируем строить центры кибербезопасности, аналоги того, что сейчас делаем с «Ростехом» в России. Наши центры позволяют выводить на аутсорсинг систему обнаружения и предотвращения кибервторжений, киберразведку, держать минимум штата.
Помог ли ФРИИ вам выйти на госсектор, если иметь в виду недавнее соглашение с «Ростехом»? Что вам даст этот контракт, кроме денег?
Контракт заключался без участия ФРИИ. Мы хотим с помощью этого проекта показать государству, как при помощи инновационных центров кибербезопасности экономить деньги и решать проблемы с кибертерроризмом и киберпреступностью.
Кроме финансового интереса в соглашении с ФРИИ есть желание достучаться до руководства страны? Известно, что портфельные стартапы встречаются с президентом...
Мы хотим научиться оказывать государству новые услуги в сфере кибербезопасности. Сейчас большой объем экспертизы мы делаем бесплатно, потому что у правоохранительных органов нет на это бюджетов. Во всем мире за это платят, в России — нет. Мы бы хотели, чтобы появлялись бюджеты на компьютерную криминалистику, чтобы менялось законодательство в сфере компьютерной криминалистики. Также мы видим заражение некоторых критичных для государства ресурсов — и хотим, чтобы ФРИИ научил нас доносить это до государства.
А дальше вы будете смотреть в сторону иностранных или российских инвесторов?
Посмотрим на политическую ситуацию. Сейчас западные инвесторы не очень готовы вкладывать в Россию. Если будет партнер, который даст и деньги, и возможность развиваться, и не будет нарушать интересы РФ, — нас это вполне устроит. Есть и такие инвесторы, для которых Group-IB — это больше коммерческая разведка: выяснить, как мы работаем, и передать данные в свои портфельные компании. Нас такой вариант не интересует.
Конкуренция или сотрудничество
Group-IB известна тем, что специализируется на расследовании киберпреступлений. Сейчас на этом рынке активно развивается «Лаборатория Касперского». При этом у них линейка продуктов шире и охват мировой. В чем вы видите свое конкурентное преимущество?
Group-IB — компания, которая изначально занимается расследованиями и криминалистикой, тогда как «Лаборатория Касперского» начала с выпуска антивирусов. Наши продукты — это не замена, а дополнение к антивирусным программам. Для нас флагман — это система обнаружения вторжений сетевого уровня, в которую мы вложили 12-летний опыт расследований. Ее используют 60 российских предприятий, включая те, что используют антивирусы различных производителей. Мы можем ответить на этот вопрос и посодействовать тому, чтобы человек, стоящий за атакой вируса, оказался в тюрьме.
Возможна ли синергия российских игроков — например, Group-IB и «Лаборатории Касперского»?
Мы можем на эту тему подумать. Мы можем хорошо друг друга дополнить: у обеих компаний конечная цель — минимизировать число киберугроз.
Реальна ли ситуация, когда вирусов не станет вообще?
Реальна ситуация, когда вирусов станет значительно меньше. Например, после ряда резонансных дел, подобных Silk Road, когда приговор — пожизненное заключение. Когда хакерам, взломавшим систему Сбербанка, дали реальные сроки шесть и восемь лет, в следующие полтора года уровень хищений в России упал на 80 процентов. Когда страны подпишут конвенцию на базе ООН по борьбе с компьютерными преступлениями и синхронизируют законодательство. И когда начнет работать глобальная киберполиция.
Если об этом зашел разговор — как вы расцениваете приговор основателю Silk Road?
У меня этот приговор не вызывает никаких противоречивых чувств. Он жестокий, но правильный. На моей странице в Facebook даже была дискуссия на эту тему. Мне задали вопрос: чему вы радуетесь? Я сказал, что это не радость, а удовлетворенное чувство справедливости. Площадка продала огромный объем наркотических средств. Человек сделал площадку не ради интереса, а ради наживы, и потому является профессиональным наркоторговцем больше, чем профессиональным айтишником. У меня есть близкий человек, брат которого умер от наркотиков, которые заказывал через этот сайт. И здесь не имеет значения, насколько система профессиональная и удобная, это — инструмент для торговли наркотиками.
И главное — этот случай показал, что правоохранительные органы научились расследовать преступления в теневом интернете. И они на этом не остановятся. Это не разговор о свободе слова, пусть теневой интернет развивается, мы сами используем его для расследований. Но когда технология используется для преступлений — не надо искоренять технологию, надо искоренять преступления.
Реально ли найти конкретных преступников в теневом интернете? По мнению разработчиков Tor, это практически невозможно.
Это иллюзия. В технологиях не бывает ничего невозможного, это математика. Информационные технологии содержат множество ошибок. Если человек говорит, что его система не содержит ошибок, то он врун. Теневой интернет — классная тема, но с массой ошибок в браузере, в протоколе, позволяющих раскрыть анонимность. В теневом интернете найти человека действительно сложнее, чем в обычном, но не невозможно.
Знаете анекдот про неуловимого Джо? Почему Mac более безопасны, чем Windows? Ответ простой: российская бухгалтерия не использует Mac, потому эта платформа пока просто менее интересна для хакеров. Как только российские компании начнут массово переводить бухгалтеров на Mac для совершения платежей, через месяц эта платформа перестанет быть безопасной.
Наш проект называется «Стартап на миллион». Есть ли место в российской индустрии кибербезопасности для новых, более мелких стартапов? Какие ниши пока не закрыты?
Российский рынок еще очень молодой. Мы только-только начинаем пожинать плоды компьютерной криминалистики, которая в последние несколько лет начала пользоваться большой популярностью. Будут очень востребованы стартапы, которые делают продукты, позволяющие предугадывать преступления, защищать от новых типов преступлений, изучать врагов. Самое интересное только начинается.